det0473-detect-persistent-or-elevated-container-services-via-container-runtime-o

# DET0473 — Detect persistent or elevated container services via container runtime or cluster manipulation ## Descrição Em ambientes de container e orquestração Kubernetes, adversários com acesso ao runtime de container (Docker daemon, containerd) ou à API do cluster Kubernetes podem criar containers com privilégios elevados, montar volumes do host ou modificar serviços de cluster para garantir persistência e escalonamento de privilégios. Um container privilegiado tem acesso quase completo ao sistema operacional do host, efetivamente escapando do isolamento que o container deveria fornecer. Técnicas como a criação de DaemonSets maliciosos (que garantem execução de um pod em todos os nós do cluster), modificação de ServiceAccounts com permissões excessivas, abuso de hostPath volumes para montar o sistema de arquivos do host, e uso de containers com `--privileged` ou `--cap-add=SYS_ADMIN` são vetores documentados. Grupos como TeamTNT e operadores de cryptomining são conhecidos por explorar ambientes Kubernetes expostos. A detecção requer monitoramento de audit logs da API do Kubernetes (`kube-apiserver`), identificação de containers com capacidades privilegiadas além das necessárias para a carga de trabalho legítima, e alertas sobre criação de recursos de cluster (DaemonSets, ClusterRoleBindings) por identidades não pertencentes ao pipeline de GitOps/CD. ## Indicadores de Detecção - Container criado com flag `--privileged` ou `securityContext.privileged: true` por serviceAccount não autorizado - DaemonSet criado fora do namespace de sistema (`kube-system`) ou por identidade não pertencente ao pipeline de CD - Montagem de `hostPath: /` ou `hostPath: /etc` em pod, dando acesso ao sistema de arquivos do host - `ClusterRoleBinding` criado concedendo permissões `cluster-admin` a serviceAccount de namespace de workload - Acesso direto ao socket Docker (`/var/run/docker.sock`) por processo dentro de container - Kubernetes audit log com `verb=creaté` em recursos `pods/exec` ou `pods/attach` por serviceAccount incomum ## Técnicas Relacionadas - [[t1611-escape-to-host|T1611 — Escape to Host]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[T1078004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1496-resource-hijacking|T1496 — Resource Hijacking]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] ## Analytics Relacionadas - [[an1304-analytic-1304|AN1304 — Analytic 1304]] --- *Fonte: [MITRE ATT&CK — DET0473](https://attack.mitre.org/detectionstrategies/DET0473)*